iT邦幫忙

1

administrators群組成員的管理員權限不見

  • 分享至 

  • xImage

想請教各位前輩,我有一個網域管理員群組(Administrators)權限的帳號A,在一次重開機之後,原本不需要提權執行的程式,卻都變成全部都要提升本機權限(本機管理員)才能執行。有什麼原因可能造成這樣?我要怎麼讓這個帳號重新擁有網域管理員的權限?

1、近期沒有做windows更新
2、10月初有做樹系、網域等級的提升
3、有重加退群組了

看更多先前的討論...收起先前的討論...
Kailis iT邦研究生 1 級 ‧ 2024-11-11 10:23:12 檢舉
只有一台電腦還是所有?
如果是單台, 檢查一下,client uac 設定 , 確認沒問題後, 再測試看看,或再建另一個管理員帳號測試
snackshih iT邦新手 4 級 ‧ 2024-11-11 10:26:53 檢舉
目前有6台server重開,6台都遇到同樣情況,就是這個A帳號有問題…。
UAC都沒動過,之前的確也都不需要提權,有安排測試建新的管理員帳號…但還需要時間建立環境…。
kawa0710 iT邦研究生 5 級 ‧ 2024-11-12 09:11:45 檢舉
會不會是帳號A密碼到期了,帳號被停用?
snackshih iT邦新手 4 級 ‧ 2024-11-12 17:24:47 檢舉
帳號A的密碼原則是永久…
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
雷伊
iT邦高手 1 級 ‧ 2024-11-11 18:03:00

1.帳號A未在 Domain Admin群組成員中或是本機Administrator群組中未有Domain Admin群組.
2.檢查GPO看一下是哪個同事動了群組原則
https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview

snackshih iT邦新手 4 級 ‧ 2024-11-12 07:47:36 檢舉
  • 報告~帳號A隸屬的網域管理員群組Administrators的成員,他還需要是Domain Admins群組成員嗎?
  • 同事近期也沒變動過GPO…。
  • 昨天有問了一下GPT,我在命令模式下whoami /groups,帳號A隸屬的Administrators群組,在屬性是:「僅用於拒絕的群組」,過去沒注意過,所以不太確定是不是以前就這個屬性。唯一能知道的只有在重新啟動server後,帳號A就沒辦法正常執行程式…。https://ithelp.ithome.com.tw/upload/images/20241112/20106763LBvfdiPKzO.png
0
sam0407
iT邦大師 1 級 ‧ 2024-11-12 10:15:27

之前有邦友問過類似的問題,您可以參考看看。

在最後一位kevinhuang大的回答中,我看到一句話(斜體加粗部份)覺得可能是關鍵:

Domain Admin ==> 此為一個安全屬性的群組,在Active Directory環境中,它擁有針對該擁有的網域中的所有物件的完全控制的權限,預設會被加入到該網域中所有電腦中的本機的Administratore管理群組中。

在看邦友討論的過程中,我也在想微軟為什麼在網域中有分Administrators及Domain Admins這兩個群組,權限都非常大,分別要應用在什麼情境?剛好看到了這句話,推論Administrators是用於DC管理上,而Domain Admins用於Client端管理用。

怎麼驗證我的推論正不正確?原PO您可以將A帳號加入Domain Admins群組中,再重新登入試試看~~

snackshih iT邦新手 4 級 ‧ 2024-11-12 17:24:25 檢舉

加入Domain Admins的確是可以解決問題,昨天在建立好環境後,有驗證過了,但我比較在意的是,過去一直都是網域administrators群組的成員,也都一直有管理員的權限,為什麼在重啟電腦後,就沒有管理員權限了…。

sam0407 iT邦大師 1 級 ‧ 2024-11-13 09:17:01 檢舉

如果說加入Domain Admins可以解決問題,表示我的推論沒錯。

在微軟的預設設定就是:
Administrators是讓我們在管理DC用的
Domain Admins是讓我們管理Client及Member Server用的

所以您現在的情形才是正常的,至於之前為何權限不正常?只能猜是不是微軟發現了這個Bug,在某次更新中有作修正,而您重開機後才生效~~

0
setsuna
iT邦新手 1 級 ‧ 2024-11-13 11:29:06

你在該Server上執行程式時需要提權就代表你登入的帳號沒有本機管理者或本機管理者群組的權限。

而用戶端加入網域後本機管理者群組裡除了原本的本機administrator帳號外還會自動加入Domain Admins群組,也就是說你用"本機administrator"跟"Domain Admins群組"登入時不需要提權執行程式。
即使你的網域帳號A在"網域administrators群組"裡,在該Server上使用網域帳號A登入依舊無法取得本機管理者的權限(除非網域帳號A或"網域administrators群組"同時也存在"Domain Admins群組"裡)。

我猜想可能的情形有二

  1. 該Server上本機管理者群組裡有手動加入過網域帳號A或是網域帳號A或所屬的"網域administrators群組",但後來不知為什麼被移除或降級至其他本機群組。
  2. 網域帳號A或所屬的"網域administrators群組"本來有加入"Domain Admins群組",但不知為何被移出"Domain Admins群組"

我要發表回答

立即登入回答